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Report a data error here 

Abstract of DE1 9703970 

the arrangement has a data acquisition device, a first identification unit, which acquires user-specific 
information, a data encoding unit which transforms the data into the authentic form depending on the 
user-specific data and a data communications unit. The data acquisition device, the first identification 
unit, the data encoding unit and the data communications unit form a unit, which performs program 
instructions stored on a read-only memory. 
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(S) Verfahren und Vorrichtung zur Erfassung von Daten und deren Obermittlung in authentischer Form 

(57) Die vorliegende Erfindung betrifft die Erfassung und 
Obermittlung von Daten. Genauer betrifft die vorliegende 
Erfindung ein Date nerfassungsge rat, das Daten nach ih- 
rer Erfassung bzw. Eingabe an ein anderes Datenverarbei- 
tungsgerat in einer authentischen Form ubermitteln soil. 
Die authentische Form soil einen eindeutigen RuckschlufS 
auf denjenigen Benutzer des Datenerfassungsgerates er- 
moglichen, der nach Durchfuhrung geeigneter Sicher- 
heits- bzw. KontrollmafSnahmen die Obermittlung der Da- 
ten freigegeben hat. Erganzend kann die authentische 
Form auch eine Uberprufungsmoglichkeit dafur eroffnen, 
ob die Daten bei der Obermittlung zu einem anderen Da- 
tenverarbeitungsgerat unbefugt manipuliert worden 
sind. Aufcerdem betrifft die vorliegende Erfindung auch 
ein Verfahren zur Steuerung eines erfindungsgemaften 
Datenerfassungsgerates, insbesondere auch in seinem 
Zusammenwirken mit einem anderen Datenverarbei- 
tungsgerat. 



o 
a 

CO 

o 



LU 



DE 197 03 

1 

Beschreibung 

Hintergrund der Erfindung 

Die vorliegende Erfindung betrifft die Erfassung und 5 
Obermittlung von Daten. Genauer betrifft die vorliegende 
Erfindung ein Datenerfassungsgerat, das Daten nach ihrer 
Erfassung bzw. Eingabe an ein anderes Datenverarbeitungs- 
gerat in einer authentischen Form ubermitteln soli. Die au- 
thentische Form soli einen eindeutigen RuckschluB auf den- 10 
jenigen Benutzer des Datenerfassungsgerates ermoglichen, 
der nach Durchfuhrung geeigneter Sicherheits- bzw. Kon- 
trollrnaBnahmen die Obermittlung der Daten freigegeben 
hat. Erganzend kann die authentische Form auch eine Uber- 
prufimgsmoglichkeit dafur eroffhen, ob die Daten bei der 15 
Ubermitdung zu einem anderen Datenverarbeitungsgerat 
unbefugt manipuliert worden sind. AuBerdem betrifft die 
vorliegende Erfindung auch ein Verfahren zur Steuerung ei- 
nes erfindungsgemaBen Datenerfassungsgerates, insbeson- 
dere auch in seinem Zusammenwirken mit einem anderen 20 
Datenverarbeitungsgerat. 

Anwendungsgebiet der Erfindung 

Eine wichtige Anwendung von Datenverarbeitungsgera- 25 
ten bzw. Computern ist die Ubermittlung von Daten an an- 
dere Computer. Zur Ubermittlung konnen zusammenge- 
schaltete Netzwerke wie lokale Netzwerke (LAN) bzw. 
weitraurnige Netzwerke (WAN) wie z. B. das Internet ver- 
wendet werden. Immer verbreiteter wird jedoch auch die 30 
mobile Datenkommunikation. Die zu ubermittelnden Daten 
konnen direkt in ein Datenerfassungsgerat eingegeben bzw. 
von diesem erfaBt werden, sie konnen jedoch auch von ex- 
ternen Geraten wie z. B. Peripheriegeraten, Videokameras, 
Scannern und dergleichen erfaBt werden. 35 

Dabei soil haufig die Benutzung des Datenerfassungsge- 
rates nur hierzu berechtigten Benutzern moglich sein. Alter- 
nativ hierzu ist es jedoch haufig auch erforderlich, daB der 
andere Computer feststellen kann, von welchem Benutzer 
die Oberrnitdung der Daten autorisiert worden ist. Dies ist 40 
insbesondere dann erforderlich, wenn die zu ubermittelnden 
Daten zum AbschluB oder zur Durchfuhrung eines Geschaf- 
tes dienen und deshalb rechtsverbindlich sein sollen, oder 
wenn die Daten als Beweis dienen sollen. 

Ferner werden haufig Daten ubermittelt, die einem Zu- 45 
griff oder einer Manipulation durch unberechtigte Dritte 
nicht zuganglich sein sollen. Nur wenn der andere Computer 
ermitteln kann, daB die Daten wahrend der Ubermitdung 
nicht manipuliert worden sind, ist die Authentizitat bzw. 
Glaubwiirdigkeit der Daten, die von dem anderen Computer 50 
empfangen werden, gewahrleistet. 

Stand der Technik 

Ublicherweise wird zu diesen Zwecken die Zugangsbe- 55 
rechtigung des Benutzers gepriift und/oder die zu ubertra- 
genden Daten werden verschliisselt. 

Fig. 9 stellt einen Computer dar, wie er zur Datenerfas- 
sung und Datenubermittlung im Stand der Technik verwen- 
det wird, wobei eine Zugangskontrolle vorgesehen ist, damit 60 
der Computer nur von hierzu Berechtigten genutzt werden 
kann. 

Dabei ist ein Computer (901) mit Monitor (902) und Ta- 
statur (903) dargestellt. Zur Ausfiihrung von Programman- 
weisungen dient eine Prozessorkarte (904). Daten, die iiber 65 
die Tastatur eingegeben oder von der Maus ausgewahlt wer- 
den, werden an die Prozessorkarte (904) ubermittelt und von 
dieser an Anwendungsprogramme weitergereicht, die eben- 
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falls auf dieser Prozessorkarte oder aber auf anderen PC- 
Karten betrieben werden. 

Es sei der Fall betrachtet, daB der Computer mit einem an- 
deren Computer iiber den Obermittlungsweg (905) kommu- 
niziert. Damit die Ubermitdung der Daten nicht von hierzu 
Unberechtigten freigegeben bzw. autorisiert wird, kann ein 
Zugangskontrollsystem verwendet werden, wie z. B. ein 
Magnetstreifenleser (906), welcher auf einem auf einem 
Speichermedium (907) gespeicherte Daten abruft und diese 
ggf. mit weiteren benutzerspezifischen Daten, wie z. B. ei- 
nem Personlichen-IdendfizierNummer (PIN) oder einer 
TransAktionsNummer (TAN) vergleicht. War die Ermitt- 
lung der Identitat des Benutzers erfolgreich, so wird die Be- 
nutzung des Computers fiir den als hierzu berechtigt ermit- 
telten Benutzer freigegeben. 

Damit nun nicht der Datenverkehr auf dem Ubermitt- 
lungsweg (905) von unberechtigten Dritten belauscht und/ 
oder manipuliert werden kann, werden ublicherweise Ver- 
schliisselungsverfahren angewendet. Ublich sind symmetri- 
sche oder asymmetrische Verschlusselungsverfahren. Zur 
Verschlusselung der Daten wird haufig ein speziell ausgebil- 
deter Verschliisselungschip bzw. Kryptochip verwendet, der 
sich entweder direkt auf der Prozessorkarte (904) oder an ei- 
nem anderen Ort im Gehause des Computers befindet. 

In Kombi nation mit der oben beschriebenen Zugangskon- 
trolle kann der Computer in einer Normalbetriebsweise be- 
trieben werden, in welcher die Daten unverschlusselt uber- 
mittelt werden, oder aber in einer Verschliisselungsbetriebs- 
weise, in welcher die Daten vor der Ubermitdung verschliis- 
selt werden. 

Falls eine Zugangskontrolle erfolgt, so wird bei her- 
kommlichen Systemen vereinbart, daB die Ubermitdung der 
Daten nur von dem hierzu Berechtigten autorisiert worden 
ist. Eine solche Vereinbarung ist fiir gewisse Belange der 
Datensicherheit ausreichend. 

Nachteile aus dem Stand der Technik 

Nachteilig an der beschriebenen Vorgehensweise ist zu- 
nachst, daB die Verschlusselung ublicherweise dynamisch 
ein- und ausgeschaltet wird. Dies bedeutet, daB die zii uber- 
mittelnden Daten zu gewissen Zeitpunkten wahrend der be- 
schriebenen Vorgehensweise in unverschliisselter Form vor- 
liegen und erst in einem abschlieBenden Schritt vor der 
Ubermitdung verschliisselt werden. Dies bietet einen An- 
griffspunkt fiir ungewiinschte Manipulationen. Dies betrifft 
insbesondere diejenigen Daten, die ein Benutzer mit Hilfe 
eines Anwendungsprograrnms ggf. einschlieBlich einer Me- 
niiauswahl in ein Datenerfassungsgerat eingibt und die dann 
an einen angeschlossenen Computer zum Zwecke der Uber- 
mitdung an einen anderen Rechner weitergeleitet werden. 
Weil die Daten zu gewissen Zeitpunkten unverschlusselt 
vorliegen, wie z. B. wahrend der Ubertragung vom Datener- 
fassungsgerat zum Computer,k6nnen sie ohne gfofieren vor- 
herigen Dechiffrieraufwand manipuliert werden. 

Solange nicht sichergestellt ist, daB innerhalb des Daten- 
erfassungsgerates keine Manipulation der zu ubermittelnden 
Daten erfolgen kann, bzw. solange der Benutzer die zu uber- 
mittelnden Daten vor ihrer t)bermittiung nicht nochmals 
uberpruft, kann nicht gewahrleistet werden, daB diejenigen 
Daten, die der andere Rechner nach tjberrnittiung und ggf. 
nach deren Entschliisselung erhalt, auch wirklich die von 
dem Benutzer autorisierten Daten darstellen. 

Ein weiterer Grund fur die bestehende Unsicherheit ist, 
daB das Datenerfassungsgerat an sich unsicher sein kann. 
Beispielsweise deshalb, weil ein Unberechtigter die Hard- 
ware - von auBen uneinsehbar - manipulieren kann, oder 
weil in die Software oder das Betriebssystem Viren, Wiir- 
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mer oder sonstige Manipulationsmittel eingebracht werden 
konnen. 

Diese Unsicherheit wird dadurch erhoht, daB die Vernet- 
zung von Computern iiblich geworden ist. Haufig werden 
Computer untereinander nicht nur in lokalen Netzwerken 5 
(LAN) z. B. eines Unternehmens vernetzt sondern zuneh- 
mend verfugen entweder die Arbeksplatzrechner (clients) 
selbst oder aber Server solcher Netze uber einen AnschluB 
an unsichere Netzwerke, wie z. B. dem Internet. Dies erbff- 
net prinzipiell die Moglichkeit, daB Unberechtigte entweder 10 
unmittelbar Daten in solchen Netzwerken manipulieren 
konnen oder dadurch, daB Manipulationsmittel wie Viren 
oder dergleichen in wichtige Programmteile eingebracht 
werden konnen, weiche dann ihrerseits unberechtigte Mani- 
pulationen vornehmen. 15 

Nachteilig ist auBerdem, daB ein Nachweis dieser und 
ahnlicher Manipulationen der Daten nach deren Ubermitt- 
lung bei bestehenden Systemen nicht moglich ist. Nachteilig 
ist insbesondere, daB ein sicherer Nachweis der Authentizi- 
tat bzw. Echtheit der Daten nicht gewahrleistet ist. 20 

Nachteilig ist auBerdem, daB Daten, die in Datenerfas- 
sungsgerate eingegeben und/oder von diesen erfaBt und/ 
oder von diesen an andere Datenverarbeitungsgerate tiber- 
mittelt werden, nicht als rechtsverbindliche Grundlage zum 
AbschluB oder zur Durchfuhrung von Geschaften jedwel- 25 
cher Art verwendet werden konnen. 

Aufgaben der Erfindung 

Eine Aufgabe der vorliegenden Erfindung ist es, ein Ver- 30 
fahren zu finden, das es ermoglicht, Veranderungen bzw. 
Manipulationen von erfaBten und zu iibermittelnden Daten 
moglichst friihzeitig in ihrem Entstehungs- bzw. Kompositi- 
onsprozeB nachzuweisen. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es, 35 
die Sicherheit bei der Erfassung, Eingabe und Ubermittlung 
von Daten zu erhohen. Eine weitere Aufgabe dieser Erfin- 
dung ist es, ein Verfahren zu finden, welches es ermoglicht, 
daB Daten, die in ein Datenerfassungsgerat eingegeben und/ 
oder von diesem erfaBt und/oder von diesem an andere Da- 40 
tenverarbeitungsgerate ubermittelt werden, moglichst ein- 
deutig der Person zugeordnet werden konnen, weiche zur 
Benutzung des Datenerfassungsgerates berechtigt war und/ 
oder die Ubermitdung der Daten autorisiert hat. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es, 45 
ein Datenerfassungsgerat vorzuschlagen, das zur Durchfuh- 
rung der vorgenannten Verfahren geeignet ausgelegt ist. Ins- 
besondere soli auch eine geeignete Vorgehensweise zur Er- 
fassung und/oder Eingabe und zur Ubermittlung von Daten 
durch ein erfindungsgemaBes Datenerfassungsgerat gefun- 50 
den werden. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es, 
daB Daten, die von einem Datenerfassungsgerat erfaBt, in 
dieses eingegeben und/oder von diesem an andere Datenver- 
arbeitungsgerate ubermittelt worden sind, als rechtsverbind- 55 
liche Grundlage zum AbschluB, zur Durchfuhrung etc. von 
Geschaften verwendet werden konnen. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es 
zu ermoglichen, daB nur authentische Daten ein Datenerfas- 
sungsgerat verlassen. 60 

Losung der Aufgaben 

Die vorgenannten Aufgaben werden durch eine Vorrich- 
tung gemaB dem Hauptanspruch sowie den nebengeordne- 65 
ten Vorrichtungsanspruchen sowie durch ein System gemaB 
dem Nebenanspruch 26 gelost. Das erfindungsgemaBe Ver- 
fahren zur Losung der genannten Probleme ist in Nebenan- 



spruch 27 beansprucht. Weitere zweckmaBige Ausfuhrungs- 
formen des erfindungsgemaBen Verfahrens bzw. Datenerfas- 
sungsgerates zur Erfassung von Daten und deren Ubermitt- 
lung in authentischer Form werden durch die Unteranspru- 
che definiert. 

Vorteile der Erfindung 

GemaB der Erfindung wird ein Datenerfassungsgerat vor- 
geschlagen, das nur aus einer Datenerfassungseinheit, aus 
einer Identifikationseinheit, aus einer Daten verschlussel- 
ungseinheit und einer Datenubermittlungseinheit besteht. 
Durch Reduzierung der Baugruppen auf ihr absolutes Minii- 
num wird die Anzahl von Schwachstellen oder moglichen 
Angriffspunkten fur eine Manipulation der erfaBten Daten 
reduziert. Vorzugsweise befinden sich diese Baugruppen in 
einem mechanisch stabilen und geschutzten Gehause, so 
daB vorteilhafterweise eine Manipulation der Hardware des 
Datenerfassungsgerates unterbunden wird. 

Das erfindungsgemaBe Datenerfassungsgerat fiihrt nur 
solche Programmanweisungen aus, die sich auf einem Fest- 
wertspeicher bzw. ROM innerhalb des Gehauses des Daten- 
erfassungsgerates befinden. Weil dieses in seiner bevorzug- 
ten Ausfuhrungsform nicht uber einen eigenen Direkt-Zu- 
griffsspeicher bzw. RAM verfugt, ist vorteilhafterweise eine 
Manipulation der Gerate-Software durch Viren, Wiirmer 
oder sonstige Manipulationsmittel unterbunden. 

Eine weitere der Erfindung zugrundeliegende Idee ist, die 
erfaBten und zu ubermittelnden Daten so fruh wie moglich 
zu fixieren bzw. in eine authentische Datendarstellung zu 
transformieren. Bei einer bevorzugten Ausfuhrungsform, 
wie z, B. bei der Eingabe von Daten in eine Computertasta- 
tur, werden somit die Daten bereits innerhalb der Tastatur 
verschlusselt, in eine authentische Darstellung transformiert 
und in dieser Darstellung an einen angeschlossenen Compu- 
ter ubermittelt. Dies unterbindet vorteilhafterweise die 
Moglichkeit, daB die Daten wahrend ihrer Ubermittlung 
uber das Verbindungskabel zwischen dem Datenerfassungs- 
gerat und einem andere Rechner, oder bei der bevorzugten 
Ausfuhrungsform zwischen der Computertastatur und dem 
Computer, belauscht und manipuliert werden. 

Sowohl das erfindungsgemaBe Verfahren als auch die er- 
findungsgemaBe Vorrichtung verschliisseln die Daten vor 
ihrer tJbermittlung mit Hilfe eines ublichen Verschliissel- 
ungsverfahrens. Hierbei konnen sowohl asymmetrische Ver- 
schliisselungs verfahren als auch symmetrische Verschlus- 
selungs verfahren verwendet werden. Indem zur Verschliis- 
selung benutzerspezifische Schlussel verwendet werden, ist 
vorteilhafterweise eine eindeutige Identifizierung des die 
Ubermittlung autorisierenden Benutzers moglich. \kraus- 
setzung hierfur ist, daB die Identitat bzw. Berechtigung des 
Benutzers hinreichend sorgfaltig iiberpruft wird. Zur Identi- 
fication des Benutzers werden bevorzugterweise biometri- 
sche Verfahren, PaBwortverfahren, Shared-Secret-Schemes 
verwendet, eine bevorzugte Ausfuhrungsform verwendet je- 
doch eine Chipkarte, die bevorzugterweise einen Kryptogra- 
phiechip beinhaltet, der zur Verschliisselung und Transfor- 
mation der Daten in eine authentische Darstellung verwen- 
det werden kann. Diese Identifikationsverfahren sind im Be- 
schreibungsteil genannt und beschrieben, aus dem Stand der 
Technik hinreichend bekannt und brauchen deshalb nicht 
eingehender erlautert werden. 

Symmetrische bzw. asymmetrische Verschlusselungsver- 
fahren sind aus dem Stand der Technik hinreichend bekannt 
und brauchen deshalb nicht eingehender erlautert werden. 

GemaB der vorliegenden Erfindung wird die Integritat 
bzw. Unversehrtheit der iibermittelten Daten durch krypto- 
graphischer Priifwerte bzw. Siegel gewahrleistet, mit deren 
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Hilfe Modifikationen der ubermittelten Daten festgestellt 
werden konnen. Hierzu verwendet eine bevorzugte Ausfiih- 
rungsform digitale Signaturen unter Verwendung iiblicher 
asymmetrischer SchlusseL Eine andere Ausfiihrungsforra 
verwendet jedoch zu diesem Zwecke symmetrische Ver- 5 
schlusselungsverfahren. 

Bevorzugte Signaturverfahren sind die iiblichen Digital 
Signatur Algorithmen (DSA), El-Gamal-Signatur- Verfah- 
ren, Fiat-Shamir-Protokolle, RSA-Verfahren bzw. Rivest- 
Shamir-Adleman- Verfahren und Schnorr- Verfahren. Bei 10 
Verwendung syinmetrischer Verschlusselungsverfahren be- 
dient sich die erfindungsgemaBe Ausfuhrungsform bevor- 
zugt einem Blockchiffre-Verfahren im CBC-Modus oder im 
CFB-Modus. Diese Verfahren, Methoden und Protokolle 
sind aus dem Stand der Technik hinreichend bekannt und 15 
brauchen deshalb nicht eingehender erlautert werden. 

In einem bevorzugten Verfahren werden zumindest die 
verwendeten Schliissel von einer sicheren Behorde bzw. se- 
cure-key- issuing-authority (SKIA) vergeben. 

Aufgrund der Verwendung solcher Verschlusselungs- und 20 
Signaturverfahren ist dem Empfanger von Daten vorteilhaf- 
terweise der Nachweis einer unberechtigten Manipulation 
der ubermittelten Daten moglich. 

Weil die bevorzugte Ausfuhrungsform der Erfindung - je 
nach den einzuhaltenden Sicherheitsstandards - mehr oder 25 
weniger aufwendige Priifschritte ausfuhrt, bei dem die Iden- 
titat und/oder Berechtigung des Benutzers uberpriift wird, 
ist in Verbindung mit den oben genannten Verschlusselungs- 
verfahren und/oder digitalen Signaturverfahren ein vorteil- 
haft hoher Sicherheitsstandard bei der Ubermittlung von 30 
Daten gewahrleistet. Durch die besondere Ausbildung des 
erfindungsgemaBen Datenerfassungsgerates ist vorteilhaf- 
terweise eine hohe Sicherheit bei der Datenerfassung sicher- 
gestellt. 

Indem die Daten mit Hilfe eines benutzerspezifischen 35 
Schlussels verschliisselt und/oder mit einer digitalen Signa- 
tur versehen werden, und die Daten somit in einer bevorzug- 
ten Ausfuhrungsform nur in einer authentischen Darstellung 
ubermittelt werden, konnen die ubermittelten Daten vom 
Empfanger vorteilhafterweise als rechtsverbindliche Daten 40 
zur Tatigung irgendeiner Art von Geschaften verwendet 
werden. Unter einer authentischen Datendarstellung sei im 
folgenden stets eine Datendarstellung verstanden, die es ei- 
nem anderen Rechner ermoglicht festzustellen, von wel- 
chem Benutzer die ubermittelten Daten zur Ubermittlung 45 
autorisiert worden sind. 

Die vorliegende Erfindung wird genauer mit Hilfe der fol- 
genden ausfuhrlichen Beschreibung und Bezugnahme auf 
die beigefiigten Figuren verstanden werden, Dabei werden 
weitere Aufgaben und Vorteile sowie Merkmale ersichtlich. 50 
Die beigefugten Figuren, auf die in der Beschreibung Bezug 
genommen wird, stellen einige bevorzugte Ausfuhrungsfor- 
men der Erfindung dar. Weder die Beschreibung noch die Fi- 
guren sind jedoch nicht dahingehend auszulegen, daB die 
Erfindung auf diese spezifischen Ausfuhrungsformen be- 55 
grenzt ware. 

Figurenubersicht 

Fig. 1 zeigt eine erste Ausfuhrungsform des Datenerfas- 60 
sungsgerates der vorliegenden Erfindung, welches die Daten 
direkt an einen anderen Rechner ubermittelt. 

Fig. 2 zeigt eine weitere Ausfuhrungsform des erfin- 
dungsgemaBen Datenerfassungsgerates, das eine Einheit zur 
Handhabung einer Chipkarte mit integriertem Kryptochip 65 
umfaBt. 

Fig. 3 ist ein HuBdiagramrn und zeigt eine einfache Be- 
triebsweise des erfindungsgemaBen Datenerfassungsgera- 
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tes. 

Fig. 4 stellt ein Zustandsubergangsdiagramm des erfin- 
dungsgemaBen Datenerfassungsgerates dar. 

Fig. 5 zeigt eine bevorzugte Ausfuhrungsform des erfin- 
dungsgemaBen Datenerfassungsgerates, das mit einem 
Computer verbunden ist, uber den die Ubermittlung an den 
anderen Rechner erfolgt. 

Fig. 6 ist ein zu einer bevorzugten Ausfuhrungsform ge- 
maB Fig. 5 zugehoriges HuBdiagramrn. 

Fig. 7 zeigt eine weitere Ausfuhrungsform des erfin- 
dungsgemaBen Datenerfassungsgerates, das eine Riick- 
kopplung zwischen dem angeschlossenen Computer und 
dem Datenerfassungsgerat ermoglicht. 

Fig. 8 ist ein zur Ausfuhrungsform gemaB Fig, 7 zugeho- 
riges FluBdiagramm; und 

Fig. 9 stellt einen Computer dar, wie er zur Datenerfas- 
sung- und Ubermittlung im Stand der Technik verwendet 
wird, wobei eine Zugangskontrolle vorgesehen ist, damit 
der Computer nur von hierzu Berechtigten genutzt werden 
kann. 

Spezieller Beschreibungsteil 

Fig. 1 zeigt eine erste Ausfuhrungsform eines Datenerfas- 
sungsgerates gemaB der vorliegenden Erfindung. In seiner 
einfachsten Grundform umfaBt dieses Datenerfassungsgerat 
eine Datenerfas sungseinheit (101), eine erste Identifikati- 
onseinheit (102), eine Datenverschliisselungseinheit (103) 
und eine DatenubermMungseinheit (104), welche die Daten 
an einen anderen Rechner (AR, 106) ubermittelt. 

Um die Sicherheit zu erhohen, werden gemaB der Erfin- 
dung moglich st alle wesentlichen Komponenten des Daten- 
erfassungsgerates in einem mechanisch stabilen und gesi- 
cherten Gehause untergebracht. Um die Sicherheit gegen 
Viren und andere Datenmanipulationsmittel zu gewahrlei- 
sten, fiihrt das erfindungsgemaBe Datenerfassungsgerat vor- 
zugsweise nur Prograrnmanweisungen aus, die sich auf ei- 
nem Festwertspeicher (ROM) innerhalb des Gehauses befin- 
den. Indem das Datenerfassungsgerat vorzugsweise uber 
keinen eigenen Schreib-Lese-Speicher (RAM) verfugt, kon- 
nen sich Manipulationsmittel zur Manipulation der Pro- 
grarnmanweisungen nicht. im Datenerfassungsgerat bzw. in 
dessen Prozessor festsetzen, um so dessen Ausfiihrungen zu 
manipulieren. 

Zur Datenerfassung dient die Datenerfassungseinheit 
(101). Hierbei handelt es sich bei einer Ausfuhrungsform 
um eine herkomrnliche Dateneingabetastatur. Um die Lei- 
stungsfahigkeit des Datenerfassungsgerates jedoch zu erho- 
hen, konnen erfindungsgemaB auch komplexere Datenein- 
gabe- und Datenerf assungsverfahren eingesetzt werden, wie 
etwa die Erfassung bewegter Bilder oder Standbilder mit 
Hilfe einer Videokamera, die Abtastung von Dokumenten 
mit Hilfe eines Scanners, wobei die erfaBte optische Infor- 
mation zusatzlich auch mit Hilfe von Filterung bzw. opti- 
schen Buchstabenerkennungsverfahren (OCR) vorverarbei- 
tet werden kann, oder die Erfassung akustischer Informatio- 
nen einschlieBlich von Spracherkennungssystemen, um den 
Informationsgehalt der erf aB ten Daten zu reduzieren. Damit 
die Datensicherheit jedoch gewahrleistet ist, werden die 
Prograrnmanweisungen bevorzugt auf einem Festwertspei- 
cher (ROM) abgespeichert, der sich innerhalb des Gehauses 
des Datenerfassungsgerates (100) befindet. 

Zum Zwecke der Datenerfassung kann auch ein entspre- 
chend ausgelegtes Peripheriegerat (PG, 107) an das Daten- 
erfassungsgerat angeschlossen werden. 

Zur Verschlusselung und Transformation der Daten in 
eine authentische Datendarstellung verwendet die in Fig, 1 
abgebildete Ausfuhrungsform einen Datenprozessor, der 
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spezielle kryptographische Programmanweisungen abarbei- 
tet. Dieser Datenprozessor kann jedoch auch ein handelsiib- 
Licher speziell ausgebildeter Kryptographieprozessor sein, 
was Rechenzeit spart und somit die Datenubermittlungsrate 
erhoht. 5 

Nach Verschliisselung der Daten im Kryptographiepro- 
zessor (103) werden die Daten mit Hilfe einer ublichen Da- 
tenuberrnittlungseinheit unter Verwendung iiblicher Daten- 
uberrnittlungsprotokolle an den anderen Rechner ubermit- 
telt. 10 

Um die Identitat des Benutzers zu ermitteln, verfugt das 
Datenerfassungsgerat iiber eine erste Identifikationseinheit 
(102), bei der es sich bevorzugt, wie in Fig. 1 abgebildet, um 
ein Gerat zur Handhabung von handelsiiblichen Smart 
Cards bzw. Chipkarten (108) handelt. Solche Chipkarten, 15 
die aus dem Stand der Technik hinreichend bekannt sind, 
verfiigen zumindest iiber einen integrierten Festwertspei- 
cher (109), in den meisten Fallen jedoch auch iiber einen 
Prozessor (109), so daB die Abarbeitung einfacher Pro- 
grammanweisungen auch unmittelbar durch die Chipkarte 20 
erfolgen kann, wobei sich die hierzu benotigten Programm- 
anweisungen entweder im ROM des Datenerfassungsgera- 
tes oder aber bevorzugt im Festwertspeicher (109) der Chip- 
karte (108) selbst befinden. 

In anderen Anwendungen, in denen beispielsweise die 25 
Bilddaten einer Uberwachungs-Videokamera oder eines 
eingescannten Textdokumentes in authentischer Form iiber- 
mittelt werden sollen, geniigt jedoch haufig auch eine einfa- 
che Tastatur, iiber die ein Benutzerkennwort, Codierschlus- 
sel und dergleichen auf Anforderung durch die Identifikati- 30 
onseinheit eingegeben werden kann. Auch die oben genann- 
ten Datenerfassungsmethoden konnen einzeln oder in Kom- 
bination zur Ermitdung der Benutzeridentitat verwendet 
werden. Der betriebene Aufwand zur Ermittlung der Benut- 
zeridentitat ist abhangig vom dem Sicherheitsstandard, den 35 
das System gewahrleisten soli. 

Zur Darstellung von eingegebenen bzw. erfafiten Daten 
verfugt des Datenerfassungsgerat iiber eine Darstellungsein- 
richtung (110), die bevorzugt als ein LCD-Bildschirm aus- 
gebildet ist, oder aber als beriihrungsempfindlicher Bild- 40 
schirm, so daB die Verwendung einer zusatzlichen Tastatur 
als Datenerfassungseinheit nicht erforderlich ist. 

Die Datenubermittlung mit dem anderen Rechner (AR, 
106) erfolgt in einer Einwegsbetriebsweise (111) oder in ei- 
ner Zweiwegbetriebsweise (112) iiber eine Datenleitung, die 45 
Teil eines Computernetzwerks wie etwa einem lokalen 
Netzwerk (LAN) oder einem weitraurnigen Netzwerk 
(WAN) oder des Internets ist. Dabei kommen ubliche Daten- 
transferprotokolle zum Einsatz, wie etwa Ethernet, Local 
Talk, FTP (file transfer protocol) oder dergleichen, die aus 50 
dem Stand der Technik hinreichend bekannt sind und des- 
halb hier nicht eingehend erlautert zu werden brauchen. Die 
Datenubermittlung erfolgt bei einer anderen Ausfuhrungs- 
form iiber drahtlose Telekommunikation in einem ublichen 
Datenformat erfolgen . Eine weitere vorgesehene Art der D a- 55 
tenubermittlung ist die Speicherung der Daten auf einem 
magnetischen oder optischen Datenspeichermedium und die 
Ubergabe dieses Datenspeichermediums an den anderen 
Rechner. 

Fig. 2 zeigt eine weitere Ausfuhrungsform des erfin- 60 
dungsgemafien Datenerfassungsgerates, das eine Einheit zur 
Handhabung einer Chipkarte mit integriertem Kryptochip 
umfaBt. 

Sofern diese Figur die gleichen Bezugszeichen wie in 
Fig, 1 enthalt, sind damit auch die gleichen Einheiten ge- 65 
meint, Im Gegensatz zur Ausfuhrungsform gemaB Fig. 1 
enthalt dieses Datenerfassungsgerat jedoch keinen eigenen 
Krypto- bzw. Verschlusselungsprozessor. 
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Zur Verschliisselung dient vielmehr die von einem Benut- 
zer einzufuhrende Chipkarte (208), die neben einem Fest- 
wertspeicher (ROM), der benutzerspezifische Daten enthalt, 
auch einen Verschlusselungsprozessor (209) umfafit. Zu- 
satzlich kann sich auf dieser Chipkarte auch ein gewohnli- 
cher Prozessor zur Durchfiihrung des unten beschriebenen 
erflndungsgemaBen Verfahrens befinden. 

Alie Daten, die von der Datenerfassungseinheit bzw. von 
dem Peripheriegerat (PG) erfaBt worden sind, werden iiber 
einen zentralen Bus (213) an den Prozessor bzw. den Ver- 
schlusselungsprozessor der Chipkarte iibermittelt. Nach 
Verschliisselung bzw. Transformation in eine authentische 
Darstellung gelangen die Daten zur Ubermittlungseinheit, 
die diese dann wie vorgenannt beschrieben an den anderen 
Rechner iibermittelt. 

Fig, 3 ist ein FluBdiagramm und zeigt eine einfache Be- 
triebsweise des erflndungsgemaBen Datenerfassungsgera- 
tes. 

Vor Eingabe bzw. Erfassung der Daten oder zumindest 
vor deren Ubermittlung an den an das Datenerfassungsgerat 
angeschlossenen Computer erfolgt die Oberprufung (302) 
der Identitat des Benutzers. 

Je nach dem Informationsgehalt der dem Datenerfas- 
sungsgerat zur Verfugung stehenden benutzerspezifischen 
Daten konnen hierbei verschiedene Vorgehensweisen vorge- 
nommen werden. 

Bei einer Ausfuhrungsform, der keine oder nur sehr ein- 
geschrankt benutzerspezifische Vergleichs- bzw. Referenz- 
daten zur Verfugung stehen, wird dem Datenerfassungsgerat 
von dem anderen Rechner ein fester offentlicher Schlussel 
zur Verfugung gestellt, sobald das Datenerfassungsgerat 
feststellt, daB ein Benutzer die Ubermittlung von Daten an- 
fordert. AnschlieBend fordert- das- Datenerfassungsgerat 
den Benutzer auf, Identifikationsdaten einzugeben. Dabei 
kann es sich im einfachsten Fall um personenspezifische 
Identifikationsnummem (PIN) und/oder Transaktionsakti- 
onsnummern (TAN) oder andere alphanumerische Zeichen- 
folgen handeln, die iiber eine Datentastatur bzw. iiber die 
Datenerfassungseinheit des Datenerfassungsgerates einzu- 
geben sind. 

Fur hohere Sicherheitsanforderungen ist jedoch ein gro- 
Berer Informationsgehalt der Identifikationsdaten von Vor- 
teil. Hierzu wird in einer bevorzugten Ausfuhrungsform der 
vorliegenden Erfindung eine Chipkarte verwendet, deren 
benutzerspezifischen Daten mit vom Benutzer einzugeben- 
den alphanumerischen Zeichenkombinationen verglichen 
werden. 

Bei einer weiteren bevorzugten Ausfuhrungsform werden 
zusatzlich als Identifikationsdaten biometrische Daten er- 
faBt, die von korperlichen Merkmalen und/oder Eigenschaf- 
ten des Benutzers abgeleitet werden. Hierbei handelt es sich 
um einen oder mehrere Fingerabdriicke, der bzw. die von ei- 
nem Fingerprintscanner erfaBt werden, oder um einen Scan- 
ner zum Abtasten der Netzhaut bzw. des Augenhintergrun- 
des des Benutzers, oder um einen Sprachanalysator, der ein 
Sprachprofil des Benutzers ermittelt. Durch Vergleich dieser 
biometrischen Daten mit benutzerspezifischen Daten kann 
die Identitat des Benutzers sehr zuverlassig ermittelt wer- 
den. Dieser Vergleich kann sowohl im Datenerfassungsgerat 
selbst bzw. seinem Chipkartenlesegerat erfolgen oder aber 
im anderen Rechner. Im letztgenannten Fall miissen die er- 
faBten Identifikationsdaten bzw. die biometrischen Daten 
mit Hilfe des offentlichen Schliissels verschliisselt und an 
den anderen Rechner iibermittelt werden. 

Der andere Rechner entschliisselt die ankommenden Da- 
ten mit Hilfe des zugehorigen geheimen Schliissels und 
nimmt den Vergleich der ankommenden Identifikationsda- 
ten mit benutzerspezifischen Referenzdaten, die etwa einer 
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Datenbank entnommen werden, vor. Nach erfolgreichem 
Vergleich geht das Datenerfassungsgerat in seinen authenti- 
schen Betriebszustand iiber. In diesem Betriebszustand wer- 
den alle Daten, die das Datenerfassungsgerat verlassen, nur 
in verschliisselter Form und nach digitaler Unterschrift 5 
ubermittelt (304, 305). Optional kann iiberpriift werden, ob 
eine Betriebsstorung vorliegt (305), woraufhin das Datener- 
fassungsgerat in seinen Klartext-Betriebszustand zuriick- 
kehrt, in dem die Daten nur unverschliisselt ubermittelt wer- 
den (303). 10 

Zur Verschlusselung der Daten muB dem Datenerfas- 
sungsgerat vom anderen Rechner ein benutzerspezifischer 
offentlicher Schlussel iibergeben werden. Alle zu iibermit- 
telnden Daten werden mit diesem Schlussel verschlusselt 
und mit einer digitalen Unterschrift versehen. 15 

Somit konnen die iibertragenen Daten eindeutig einem 
berechtigten Benutzer zugeordnet werden, und weil die Da- 
ten vor der Ubermittlung mit einer digitalen Unterschrift 
versehen worden sind, kann eine unberechtigte Manipula- 
tion der Daten wahrend der Ubermittlung zum anderen 20 
Rechner entdeckt werden. 

In einer anderen bevorzugten . Ausfuhrungsform stehen 
dem Datenerfassungsgerat zur Oberprufung der Benutzeri- 
dentitat umfangreichere benutzerspezifische Referenzdaten 
zur Verfiigung, etwa deswegen, weil der Benutzer vor Erfas- 25 
sung weiterer Identifikationsdaten eine Chipkarte in das 
Chipkartenlesegerat des Datenerfassungsgerates einfuhren 
muB. Die im ROM der Chipkarte abgespeicherten benutzer- 
spezifischen Daten lassen einen "zeroknowledge" Beweis 
der Benutzeridentitat zu, also einen Beweis, zu dem das Da- 30 
tenerfassungsgerat nicht noch zusatzliche benutzerspezifi- 
sche Referenzdaten benotigt, die ihm etwa von dem anderen 
Rechner zur Verfiigung gestellt werden miissen. Zur Uber- 
prufung der Benutzeridentitat werden die erfaBten Identifi- 
kationsdaten und die benutzerspezifischen Referenzdaten 35 
unmittelbar vom Chipkartenlesegerat oder aber im Prozes- 
sor der Chipkarte miteinander verglichen. 

1st diese Uberprufung erfolgreich, so wird der Verschliis- 
selungseinheit (304) des Datenerfassungsgerates gemaB 
Fig, 1 der benutzerspezifische offentliche Schlussel (PK) 40 
iibergeben. Bei einem Datenerfassungsgerat gemaB Fig. 2 
braucht der offentliche Schlussel solange nicht an weitere 
Einheiten des Datenverarbeitungsgerates weitergereicht 
werden, solange dieses nur in einer Einweg-Betriebsweise 
betrieben wird, in der das Datenerfassungsgerat Daten, die 45 
in dem Kryptochip der Chipkarte verschlusselt werden, nur 
an den anderen Rechner ubermittelt. Dadurch wird die Si- 
cherheit des Datenerfassungsgerates zusatzlich erhoht. 

Soil das Datenerfassungsgerat jedoch zusatzlich auch in 
einer Zweiweg-Betriebsweise betrieben werden, in der das 50 
Datenerfassungsgerat mit dem benutzerspezifischen gehei- 
men Schlussel verschliisselte Anweisungen oder Daten von 
dem anderen Rechner verwerten soli, so muB der Ver- bzw. 
Entschliisselungseinheit des Datenerfassungsgerates der be- 
nutzerspezifische offentliche Schlussel, der sich auf der 55 
Chipkarte befindet, iibergeben werden. 

War die Uberpriifung der Benutzeridentitat in Schritt 302 
nicht erfolgreich, so bleibt das Datenerfassungsgerat im 
Klartext-Betriebszustand, so daB die tJbermittlung der Da- 
ten sowohl an den anderen Rechner nur unverschliisselt er- 60 
folgt. 

Fig. 4 stellt ein Zustandsubergangsdiagramm des erfin- 
dungsgernaBen Datenerfassungsgerates dar. Hierbei sei das 
Beispiel betrachtet, daB ein Bankkunde Daten zu einem 
Rechner ubermitteln will. Unter Rechner sei in diesem Bei- 65 
spiel der Zugangsrechner einer Bank verstanden, der mit 
dem erfindungsgemaBen Datenerfassungsgerat iiber eine 
Datenleitung in Verbindung stehe. Bei dem Datenerfas- 
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sungsgerat konnte es sich um einen Bankautomaten oder ein 
System zur Durchfuhrung von Telebanking handeln. 

Das hierzu verwendete erfindungsgemaBe Datenerfas- 
sungsgerat verfuge als Datenerfassungseinheit iiber eine iib- 
liche Tastatur und als erste Identifikationseinheit iiber einen 
Chipkartenleser. Hinzu komme ein Bildschirm zur Darstel- 
lung der Daten, bei denen es sich in diesem Beispiel um ein- 
fache alphanumerische Zeichen, wie etwa Kundenname, 
Bankkontonummer oder Bankleitzahl handelt. Der Bank- 
kunde verfuge iiber eine Chipkarte, die zumindest benutzer- 
spezifische Daten enthalt, damit das Chipkartenlesegerat ei- 
nen zero-knowledge Beweis der Benutzeridentitat durch- 
fuhren kann. Die Chipkarte kann zusatzlich auch den priva- 
ten Schlussel (SK) und/oder den offentlichen Schliissel (PK) 
enthalten, die als Grundlage fur ein asymmetrisches Ver- 
schlusselungsverfahren verwendet werden konnen. 

Solange der Kunde die Chipkarte nicht eingefuhrt hat 
(401), erfolgt die Ubermittlung der vom Kunden eingegebe- 
nen Daten vom Datenerfassungsgerat zum anderen Rechner 
unverschliisselt (402), wie durch die Schieife bei (402) an- 
gedeutet. Dieser Datenverkehr kann ohne Probleme von Un- 
befugten belauscht und zu dessen Vorteil manipuliert wer- 
den. Legt der Benutzer nun die Karte ein (403), so erfolgt 
zunachst die Uberpriifung der Benutzeridentitat (404) und 
ggf. auch die Uberprufung der Giiltigkeit der Chipkarte, Bei 
negativem Ergebnis dieses Uberprufung (405) erfolgt der 
Auswurf der Karte und das Datenerfassungsgerat nimmt 
wieder seinen Klartext-Betrieb auf. 

Bei positivem Ergebnis der Uberpriifung geht das Daten- 
erfassungsgerat in den authentischen Betrieb iiber (407), in 
dem alle das Datenerfassungsgerat verlassenden Daten nur 
in einer authentischen Datendarstellung ubermittelt werden. 
Weil anhand der authentischen Daten vom anderen Rechner 
festgestellt werden kann, ob die Daten wahrend der Uber- 
mittlung manipuliert worden sind, konnen die so iibermittel- 
ten Daten als echt betrachtet werden. 

Falls das Datenerfassungsgerat unmittelbar mit dem Zu- 
gangsrechner der Bank kommuniziert, so benotigt das Da- 
tenerfassungsgerat zur Verschliisselung einen offentlichen 
Schliissel (PK). Dieser kann dem Datenerfassungsgerat von 
der Chipkarte zur Verfiigung gestellt werden. Er kann dem 
Datenerfassungsgerat jedoch auch von dem Bankrechner 
zur Verfiigung gestellt werden, nachdem dieser von der po- 
sitiven Uberprufung der Benutzeridentitat inforrniert wor- 
den ist. 

Solange keine Betriebsstorung erfolgt, werden die Daten 
nur in authentischer Form an den Rechner ubermittelt. Er- 
folgt jedoch eine Betriebsstorung (409), wie etwa eine Un- 
terbrechung der Kommunikation, oder beendet der Bank- 
kunde die Kommunikation, so erfolgt der Auswurf der 
Chipkarte und der Rechner kehrt wieder in seine Klartext- 
Betriebsweise zuriick. 

Fig. 5 zeigt eine bevorzugte Ausfuhrungsform des erfin- 
dungsgemaBen D atenerf assungsger ates . 

Haufig ist es bei sensiblen Daten erforderlich, daB Daten, 
die ein Benutzer iiber eine Tastatur eingibt oder die in einer 
der oben genannten Weisen von einer Datenerfassungsein- 
heit erfaBt wurden, iiber einen Computer an einen anderen 
Rechner ubermittelt werden sollen. Eine typische Anwen- 
dung konnte die Tatigung einer Uberweisung vom PC eines 
Bankkunden aus sein, der iiber eine Datenverbindung wie 
z. B. dem Internet mit dem Zugangsrechner einer Bank ver- 
bunden ist. Eine weitere bevorzugte Anwendung ist die au- 
thentische Ubermittlung von Bild und/oder Tondaten von ei- 
nem PC bzw. client innerhalb eines Computemetzwerks zu 
einem anderen PC, der ein client oder ein server sein kann. 
Dieses Computemetzwerk konnte das Internet sein oder 
aber ein Intranet eines Untemehmens. 
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Bei sensiblen Daten sollte es dem anderen Rectiner mog- 
lich sein zu ermitteln, a) von welchem Benutzer des Compu- 
ters die Datenubermitdung autorisiert worden ist und/oder 
b) ob die Daten wahrend der Ubermitdung manipuliert wor- 
den sind. Hierzu ist eine Ubermittlung der Daten in einem 5 
authentischen Format erforderlich. 

Weil jedoch der Computer (500) uber das Netz (504) von 
auBen her zuganglich ist und uber einen manipulierbaren 
Speicherbereich verfugt, konnte der Benutzer des Compu- 
ters die Ubermitdung von Daten A autorisieren und diese 10 
noch innerhalb des Computers in Daten B von einem Virus 
oder dergleichen umgewandelt werden, ohne daB der Benut- 
zer dies bemerkt. Dieses Problem laBt sich durch ein erfin- 
dungsgemaBe Datenerfassungsgerat beheberi, das an den 
unsicheren Computer angeschlossen ist. 15 

Hierzu ist bei der in Fig. 5 gezeigten Ausfuhrungsform 
ein Datenerfassungsgerat (100; 200) vorgesehen, welches 
als erste Identifikationseinheit uber einen Chipkartenleser 
und als zweite Identifikationseinheit uber einen Finger- 
printscanner verfugt. Das Datenerfassungsgerat besitzt ei- 20 
nen Bus (502) zur Kornmunikation mit dem Computer (500) 
und optional auch uber einen DateneingangsanschluB zur 
Entgegennahme von Daten eines Peripheriegerates (PG). 

Die Ubermittlung der Daten erfolgt sowohl uber den Bus 
(502) als auch uber das Netz (504) in authentischer Daten- 25 
darstellung. Zur Verschliisselung und Entschliisselung im 
Datenerfassungsgerat dient entweder der Kryptographiechip 
auf der von dem Benutzer einzufuhrenden Chipkarte oder 
aber eine Verschlusselungseinheit. Auch der Computer und 
der Rechner benotigen eine Ver- und Entschliisselungsein- 30 
heit (503; 505), die sich auf einer Einschubkarte befinden 
kann oder aber bevorzugt in einem speziellen Kryptogra- 
phiechip. 

Fig. 6 ist ein zu einer bevorzugten Ausfuhrungsform ge- 
maB Fig. 5 zugehoriges RuBdiagramm. 35 

Vor Eingabe bzw. Erfassung der Daten oder zumindest 
vor deren Ubermittlung an den an das Datenerfassungsgerat 
angeschlossenen Computer erfolgt die Uberpriifung (602) 
der Identitat des Benutzers. Ist diese Uberpriifung erfolg- 
reich, so wird der Verschliisselung seinheit (503) des Com- 40 
puters der benutzerspezifische offentliche Schliissel (PK) 
iibergeben. Dieser befindet sich entweder auf dem Festwert- 
speicher (ROM) der Chipkarte oder wird der Verschlussel- 
ungseinheit von dem anderen Rechner zur Verfiigung ge- 
stellt. Falls die Verschliisselung der Daten in der Verschliis- 45 
selungseinheit des Datenerfassungsgerates erfolgt, so wird 
ihr hierzu der geheime Schliissel (SK) iibergeben, der sich 
auf dem ROM der Chipkarte befindet. Falls die Verschliisse- 
lung der Daten hingegen - wie in der Ausfuhrungsform ge- 
maB Fig. 2 - auf dem Kryptochip der Chipkarte erfolgt, so 50 
benotigt das Datenerfassungsgerat den geheimen Schliissel 
(SK) nur dann, wenn es Daten, die von dem Computer zum 
Datenerfassungsgerat in verschliisselter Form ubermittelt 
werden, wieder entschliisseln rnuB. 

AnschlieBend werden die Daten mit Hilfe des geheimen 55 
Schliissel (SK) im Datenerfassungsgerat verschlusselt, mit 
einer digitalen Unterschrif t versehen (604) und an den Com- 
puter ubermittelt (605). Falls ein Anwendungsprogramm, 
das auf dem Computer des Benutzers betrieben wird, die 
Daten weiterverarbeiten soil (Uberpriifung in Schritt 606), 60 
so erfolgt zunachst die Entschliisselung der Daten (607) mit 
Hilfe des offentlichen Schliissels. Nach der Weiterverarbei- 
tung der Daten (608) werden die Daten erneut mit Hilfe des 
offentlichen Schliissels verschlusselt und mit einer digitalen 
Unterschrift versehen (609). Vor der Ubermitdung der Da- 65 
ten (610) an den anderen Rechner kann optional eine Ab- 
frage erfolgen, ob eine Betriebsstorung vorliegt, wie etwa 
eine Storung auf der Ubertragungsleitung oder ein Fehler im 
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Chipkartenlesegerat. Sollte eine Betriebsstorung vorliegen, 
so erfolgt entweder - wie im allgemeinen Zustandsiiber- 
gangsdiagramm in Fig, 4 dargestellt - ein volliger Abbruch 
der Datenubermitdung oder aber eine Obermittiung der Da- 
ten in un verschliisselter Form (613). 

War hingegen die Uberpriifung der Benutzeridentitat in 
Schritt 602 nicht erfolgreich, so bleibt das Datenerfassungs- 
gerat im Klartext-Betriebszustand, so daB die Ubermitdung 
der Daten sowohl an den Computer (612) als auch an den 
anderen Rechner (613) unverschliisselt erfolgt. 

Fig. 7 zeigt eine weitere Ausfuhrungsform des erfin- 
dungsgemaBen Datenerfassungsgerates, das eine Riick- 
kopplung zwischen dem angeschlossenen Computer und 
dem Datenerfassungsgerat ermoglicht, Diese Riickkopplung 
gewahrleistet, daB der Benutzer die Daten vor Ihrer Uber- 
mittlung von dem Computer zu dem anderen Rechner auf ei- 
nem Bildschirm des Datenerfassungsgerats nochmals iiber- 
priifen kann. Stimmen diese Daten mit denjenigen Daten 
uberein, die von dem Datenerfassungsgerat oder einem Peri- 
pheriegerat (PG) erfaBt, von dem Benutzer eingegeben oder 
von diesem in einem Anwendungsprogramm ausgewahlt 
worden sind, so autorisiert der Benutzer die Ubermitdung 
der Daten. Weil das Datenerfassungsgerat sicher ist und eine 
nachtragliche Manipulation der mit einer digitalen Unter- 
schrift versehenen authentischen Daten moglich ist, ist si- 
chergestellt, daB die am anderen Rechner ankommenden 
Daten vom Benutzer abgesendet worden sind. Diese Daten 
konnen von dem anderen Rechner somit als rechtsverbindli- 
che Grundlage fur die Tatigung von Rechtsgeschaften ver- 
wendet werden. 

Die in Fig, 7 angefuhrten Bezugszeichen, die mit denjeni- 
gen aus Fig. 5 ubereinstimmen, wurden bereits im Zusam- 
menhang mit Fig. 5 erlautert. Zusatzlich verfugt das Daten- 
erfassungsgerat dieser weiteren Ausfuhrungsform iiber eine 
Datendarstellungseinheit (711), die vorzugsweise ein LCD- 
Bildschirm oder ein beriihrungsempfindlicher bzw. Touch- 
Screen ist. Die Daten werden zum Zwecke der Autorisie- 
rung ihrer Ubermitdung von dem Computer (500) zu dem 
Datenerfassungsgerat (100; 200) iiber eine Verbindung 
(710) ebenfalls in authentischer Form zuruckubermittelt. 
Verbindung 710 kann mit Verbindung 502 iibereinstimmen. 
Zusatzlich kann das Datenerfassungsgerat iiber eine geson- 
derte Bestatigungstaste (712) zur Autorisierung der Daten- 
ubermitdung verfiigen. 

Bezugszeichen 707 stellt eine Dateneingabemaske, wie 
etwa eine Internet- Webseite oder dergleichen dar, in dessen 
html-Formular der Benutzer Daten eintragen soli. Eine wei- 
tere Moglichkeit ist die Auswahl von Daten aus einem Menu 
(708), etwa durch Zeigen und Auswahlen mittels einer 
Computermaus (709). 

Fig. 8 ist ein zur Ausfuhrungsform gemaB Fig. 7 zugeho- 
riges FluBdiagramm. Dieses FluBdiagramm setzt den Be- 
triebsablauf aus Fig. 6 ab Schritt 603 fort. 

Zur Ubermitdung der Daten an den Computer werden 
diese mit Hilfe des benutzerspezifischen geheimen Schliis- 
sels verschlusselt, mit einer digitalen Unterschrift versehen 
(802). AnschlieBend erfolgt die Ubermitdung (803) an den 
Computer in authentischer Form. Dieser verarbeitet die 
empfangenen Daten weiter (805), wobei dem Verarbei- 
tungsschritt analog zu dem Schritten 607 in Fig. 6 eine Ent- 
schliisselung der Daten (804) vorangeht bzw. eine Ver- 
schliisselung der Daten folgt (806). AnschlieBend werden 
die Daten wieder in authentischer Form an das Datenerfas- 
sungsgerat ubermittelt (807), wo zunachst die Entschliisse- 
lung der Daten erfolgt (808). 

AnschlieBend wird der Benutzer aufgefordert, die Uber- 
mitdung der so an das Datenerfassungsgerat iibermittelten 
Daten zu autorisieren (809). Hierzu werden die zu uberrnit- 
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telnden Daten auf der DatendarsteUungseinrichtung (711) 
dargestellt. Zur Autorisierung betatigt der Benutzer entwe- 
der eine separate Bestatigungstaste (712) oder er betatigt 
eine Taste wie z. B. die "Enter "-Taste einer ub lichen Tasta- 
tur. 5 

In einer Ausfuhrungsform verfugt das Datenerfassungs- 
gerat iiber einen PufFerspeicher, der die erfaBten Daten zwi- 
schenspeichert. Bevorzugt werden in den PufFerspeicher Ta- 
statureingabedaten gegeben. Bei einer Anwendung, bei wel- 
cher der Benutzer Daten in eine Eingabemaske eingeben 10 
muB, indem er beispielsweise einen Formulareintrag in ei- 
ner html-Webseite vomimmt, werden die so eingegebenen 
und vom Computer in die Eingabemaske eingesetzten Daten 
iiber die Verbindung (710) an das Datenerfassungsgerat zu- 
ruckubermittelt. Statt diese Daten nun auf dem Bildschirm 15 
darzustellen, konnen die zuruckubermittelten Daten auch 
unmittelbar mit den im PufFerspeicher zwischengespeicher- 
ten Daten verglichen werden. 1st der Vergleich erfolgreich, 
so entspricht dies einer Autorisierung der Ubermittlung 
durch den Benutzer (809) . 20 

AnschlieBend werden die Daten im Datenerfassungsgerat 
wieder verschliisselt (810) und in authentischer Darsteilung 
an den Computer und von diesem an den anderen Rechner 
ubermittelt (811). Optional kann wieder eine Uberpriifung 
im Hinblick auf etwaige Betriebsstorungen erfolgen, was 25 
zum Abbruch der Ubermittlung und zum Ubergang in die 
Klartext-Betriebsweise des Datenerfassungsgerates (612) 
fuhrt. 

Somit ist ein Verfahren und eine Vorrichtung zur Erfas- 
sung von Daten und deren Ubermittlung in authentischer 30 
Form gefunden worden. Somit kann ein groBtmoglicher Si- 
cherheitsstandard bei der Erfassung von Daten und deren 
Ubermittlung gewahrleistet werden. Die iibermittelten Da- 
ten konnen aufgrund des vorteilhaft hohen Sicherheitsstan- 
dards insbesondere als rechtsverbindliche Grundlage fur die 35 
Tatigung von Geschaften jedwelcher Art oder als authenti- 
scher bzw. glaubwiirdiger Nachweis von Dokumenten oder 
Ereignissen, die von den Daten dargestellt werden. 

Urn die Erfindung noch umfassender aufzuzeigen, wer- 
den zusatzlich noch folgende zwei Varianten angefuhrt und 40 
ein weiteres konkretes Ausfuhrungsbeispiel angegeben: 

1 Einfuhrung 

Elektronische Medien gewinnen gegenwartig zunehmend 45 
eine wesentliche Bedeutung im Rahmen der Informationsre- 
prasentanz und Kommunikation der Menschen. Diese Tech- 
nik zeichnet sich durch grofie Rexibilitat, Inforrnationsviel- 
falt, hohe Aktualitat und Geschwindigkeit so wie relativ ein- 
fache Verfugbarkeit aus. 50 

Aufgrund der Architektur und Implementierung der 
Transportprotokolle werden derzeit ofFentlich zuganglichen 
Computemetzwerke in der Regel nur zum ofFenen Informa- 
tionsaustausch genutzt werden. Da sich jeder fur jeden aus- 
geben kann und die durch die Netze transportierten Daten 55 
sehr einfach durch dritte unrechtmaBig verandert werden 
konnen, bleibt es den Anwendem versagt rechtsverbindliche 
Dokumente auszutauschen. 

Um Geschafte iiber das Netz tatigen zu konnen, ist es not- 
wendig iiber eine Technik zu verfugen, mit der die Authen- 60 
tizitat der erfaBten und iibermittelten Daten nachgewiesen 
werden kann. Das bedeutet, daB man in der Lage ist, die 
Herkunft und Unverfalschtheit eines elektronischen Doku- 
ment nachweisen zu konnen. 

65 

2 Gegenstand der zu schiitzenden Idee 
Grundidee ist, Daten bei ihrem digitalen Entstehungspro- 



zeB - bei ihrer Erfassung - zu fixieren. Das soli durch Da- 
tenerfassungsgerate (wie z. B. Tastaturen, Scanner, Karten- 
leser von Zugangskontrollsystemen usw.) von Rechnersy- 
stemen bewerkstelligt werden, die durch kryptographische 
Verfahren die Darsteilung der Daten derart umwandeln, so 
daB die Authentizitat der erfaBten Daten nachgewiesen wer- 
den kann. Vorteil dieses Ansatzes ist es, daB die Gerate, die 
Daten ubermitteln nicht notwendiger Weise sicher sein miis- 
sen, damit der Nachweis der Authentizitat gefuhrt werden 
kann. Sicher muB das Datenerfassungsgerat und die Verar- 
beitungseinheit sein, auf der Nachweise der Authentizitat 
gefiihrt wird. 

3 Zielsetzung 

Bereitstellung authentischer Daten durch ein Datenerfas- 
sungsgerat die eindeutig einer Person zugeordnet werden 
konnen. Die durch das Gerat erfaBte Daten werden durch 
kryptographische Verfahren im Datenerfassungsgerat trans- 
formiert. Die kryptographisch modifizierte Datendarstel- 
lung wird an andere Gerate oder Verarbeitungseinheiten 
weitergegeben. Durch die umgewandelte Darsteilung der 
Daten ist es moglich: 

- eine Veranderung an den vom Datenerfassungsgerat 
ubergebenen Daten festzustellen 

- die Daten einer Person und/oder dem Datenerfas- 
sungsgerat eindeutig zuzuordnen. 



4 technische Realisierung 

Das Datenerfassungsgerat z. B. Tastatur besitzt neben den 
technischen Vorrichtungen zum Erfassen der Daten 

1. eine Einheit, um die benutzerspezifischen Daten 
(Benutzerschlussel) entgegen zu nehmen und optional 
auf ihre RechtmaBigkeit zu priifen z, B. Chipkartenle- 
ser und (optional) Fingerprintscanner. 

2. eine passive oder aktive Verschliisselungseinheit 
(Firmware mit Verschliisselungsalgorithmen oder Ver- 
se hliisselungshardware). 

3. optional: eine Weltweit eindeutige Identitat mit ei- 
nem unveranderbaren Zeiteinheitenmesser. 

Die genannten Einheiten konnen miteinander und/oder 
mit dem Datenerfassungsgerat untrennbar oder trennbar ver- 
bunden sein. Fiir groBtmogliche Sicherheit erscheint es je- 
doch sinnvoll alle Komponenten untrennbar in einem Ge- 
hause unterzubringen. 

Das Gerat oder die Verarbeitungseinheit, die die Daten 
des Datenerfassungsgerates erhalt besitzt einen speziellen 
Treiber, der 

1. die Daten wieder in eine Klartextdarstellung (verar- 
beitbare Darsteilung) zurucktransformiert, 

2. (optional) einen Datenaustausch mit dem Datener- 
fassungsgerat ermoglicht, durch den eine Assoziierung 
der eingelesenen Daten und Daten von der Verarbei- 
tungseinheit durch die Verschliisselungseinheit ermog- 
licht. 



5 Funktionsweise (am Beispiei einer Tastatur) 

Der Bediener steckt seine Chipkarte (Trager seines spezi- 
fischen Geheimnisses) in den Kartenleser der Tastatur 
(konnte beispielsweise auch nur ein PaBwort eingeben, ist 
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aber relativ unsicher). Die Tastatur sendet daraufhin nur 
noch verschliisselte Daten an den Rechner. Der Tastaturtrei- 
ber entschliisselt die erhaltenen Daten und stellt je nach An- 
forderung die authentische oder Klartextversion zur Verfu- 
gung. 5 

Bei Anwendungen kann der Bedarf bestehen, Daten von 
Anwendungsprogrammen mit den Benutzereingaben zu as- 
soziieren. Dazu muB die Applikation dem Eingabegerat 
seine Integritat nachweisen. 1st der Beweis erfolgreich, 
iibergibt die Anwendung dem Tastaturtreiber die zu assozi- 10 
ierenden Daten verschliisselt Die Daten werden durch den 
Treiber an das Dateneingabegerat weitergeleitet, das durch 
seine Verschlusselungseinheit die Anwendungsdaten mit 
den vom ihm erf aB ten Daten assoziiert. 1st keine Karte ein- 
gelegt, so funktioniert die Tastatur wie eine gewohnliche. 15 

5.1 Allgemeine Funktionsmodie fur Datenerfassungsgerate 

1 . Das Gerat liefert nur kryptische Daten wenn ein be- 
nutzerspezifisches Geheimnis vorliegt, sonst normale 20 
Daten. Anwendung bei z. B. Scanner, Tastatur, Karten- 
leser bei Zugangskontrollsystemen (Zeitwirtschaft, 
Objektschutz usw.) 

2. Das Gerat liefert immer kryptische Daten ob ein Be- 
nutzergeheimnis vorliegt oder nicht. Anwendung bei 25 
z. B. Kartenleser bei Zugangskontrollsystemen (Zeit- 
wirtschaft, Objektschutz usw.) 

3. Das Gerat liefert nur Daten (kryptisch oder normal), 
wenn ein Benutzergeheirnnis vorliegt. Sonst versagt es 
den Dienst. Anwendung bei z. B. Scanner, Tastatur. 30 

5.2 Option: Beweis der RechtmaBigkeit der Kartennutzung 

Bei Gebrauch von Chipkarten kann es sinnvoll sein, den 
Besitzer der Karte nachweisen zu lassen, dafi er die Karte 35 
rechtmaBig benutzt. Hierzu wird der Benutzer nach dem 
Einlegen der Karten durch ein Signal aufgefordert einen 
oder rnehrere Finger auf den Fingerprintscanner zu legen. 
Die Daten der Fingerabdriicke dienen mit den Daten die auf 
der Karte verfugbar sind zu Beweis der RechtmaBigkeit. 40 

6 Unterschiede zu bisherig verfugbaren Systemen 

Die Transformierung der Daten kann nicht dynamisch 
ein- und abgeschaltet werden. 1st das Geheimnis bzw. 45 
RechtmaBige Nutzung des Geheimnisses des Benutzers be- 
wiesen, verlassen das Gerat nur noch authentische Daten. 

Existierende Verfahren verwenden eine dynamische Ein- 
und Ausschaltung der kryptographischen Datendarstellung. 
Befindet sich aber auf der "unsicheren Verarbeitungseinheit" 50 
ein Virus, Wurm oder eine sonstige Manipulation, so besteht 
die prinzipielle Moglichkeit die Darstellungsart zu einem 
Zeitpunkt zu wechseln, zu dem die eigentlichen Nutzdaten - 
deren Authenzitat zu beweisen ist - ungeschiitzt (im Klar- 
text) iibertragen werden. Diese konnen dann illegitim veran- 55 
dert werden. Die Veranderung ware nicht Nachweisbar. 
Nach der Anderung wiirde der Angreifer den Text mit der 
elektronischen Unterschrift des Autors versehen und Autor 
sowie Empfanger wiirden zunachst von der illegalen Beein- 
flussung keine Kenntnis erlangen. Eine weitere Spielart 60 
ware, daB der Angreife die Beschaften Daten als seine eige- 
nen gegenuber dem Empfanger ausgeben konnte. 

1 Einfuhrung 

65 

Die breite Akzeptanz von Computern in der Geschafts- 
welt als auch im privaten Bereich ist mitunter auf die mehr 
oder minder einheitlichen und leicht bedienbaren Benutzer- 
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schnittstellen zwischen Mensch und Systemeinheit zuriick- 
zufiihren. Der Erfolg eines Programms hangt nicht nur vom 
Leistungsumfang seiner Funktionen ab, sondem zunehmend 
auch vom Schnittstellendesign und der Handhabbarkeit. Gut 
gestaltete Benutzeroberflachen zeichnen sich durch intui- 
tive, schnelle und vor allem sichereBedienbarkeit aus. Dazu 
zahlt insbesondere, daB die Eingabemasken nur sinnvolle 
Eingaben zulassen und den Anwender von Tipparbeit durch 
entsprechende Auswahlangebote entlasten. 

Der beschriebene Ansatz zum authentischen Austausch 
von Daten iiber offene Kommunikations- und Datennetze 
geht davon aus, daB die Daten, deren Authentizitat nach- 
weisbar sein sollen, iiber die entsprechenden sicheren Ein- 
gabegerate erfaBt sein mussen. Es ist dem Anwender also 
nicht moglich, bereits verfugbare Daten auszuwahlen und 
deren Authentizitat sicherzustellen. Das in diesem Text be- 
schriebene Gerat soil diesen Mangel beseitigen. 

2 Gegenstand der zu schutzenden Idee 

Grundidee ist, Daten nicht beim EntstehungsprozeB, son- 
dem bei ihrem KompositionsprozeB zu fixieren. Das bedeu- 
tet, man benotigt ein Gerat, mit dem die Authentizitat von 
Daten festgestellt werden kann und das anschlieBend diese 
Daten in eine Darstellung umwandelt, deren Authentizitat 
durch entsprechende kryptographische Verfahren leicht 
nachgewiesen werden kann. 

Dazu soil eine erweiterte Form eines Bildschirms oder ei- 
ner Tastatur dienen, der bzw. die die Einrichtungen besitzt, 
wie sie im oben genannten Schriftsatz beschrieben sind, und 
die daruber hinaus in der Lage ist, bidirektional Nutzdaten 
mit dem angeschlossenen Rechner auszutauschen. AuBer- 
dem existiert ein Weg, mit dem die vom Rechner ubermittel- 
ten Daten sicher auf deren Korrektheit von dem Bildschirm 
bzw. der Tastatur oder dem Anwender uberpriift werden 
konnen, Sind die Daten authentisch, so werden diese akzep- 
tiert und mit weiteren Eingaben iiber die Tastatur oder ande- 
ren authentischen Daten in einer authentisch nachweisbaren 
Darstellung an den Rechner gesandt. 

3 Zielsetzung 

Gerat zur Bereitstellung authentischer Daten, die eindeu- 
tig einer Person zugeordnet werden konnen. Durch das Ge- 
rat selbst oder mit Hilfe des Gerates kann die Korrektheit 
von Daten, die von einer unsicheren Datenquelle stammen, 
auf Authentizitat gepriift werden. Authentische Daten von 
diesen Quellen konnen mit Daten aus sicheren Datenquellen 
verkniipft werden. Die Darstellung der produzierten authen- 
tischen Daten wird durch entsprechende kryptographische 
Verfahren transformiert - so daB deren Authentizitat nach- 
gewiesen werden kann - und verlassen das Gerat nur in die- 
ser Darstellung. Das Gerat verlassen ausschlieBlich Daten, 
die authentisch sind. 

4 Technische Realisierung 

Die Realisierung dieses Gerates ist in drei Varianten vor- 
stellbar: 

1. emeitertes Bildschirmgerat 

2. erweiterte Tastatur 

3. Kombination aus Bildschirmgerat und Tastatur 

Das Gerat besitzt neben den Baugruppen seiner handels- 
ublichen Bauformen folgende technische Vorrichtungen: 

- eine Einheit, urn benutzerspezifische Daten zur Da- 
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tentransformierung entgegenzunehmen. 

- eine Einheit, um die RechtmaBigkeit der Benutzung 
der benutzerspezifischen Daten zur Datentransformie- 
rung kontrollieren zu konnen. 

J - weltweit eineindeutige Identitat mit einem unveran- 5 
derbaren Zeiteinheitenmesser. 

- optional: ein LCD Display zur direkten Kommuni- 
kation mit dem Anwender. 

- bei der Tastatur: ein Scanner, mit dem bestimmte 
Teile auf dem Bildschirm gescannt werden konnen. 10 

- beim Bildschirmgerat: eine Elektronik, mit welcher 
bestimmte Bildschirmbereiche in digitaler Form darge- 
stellt werden konnen. 

- eine Einheit, die die vom Rechner erhaltenen Daten 
veriflziert: z. B. spezieller Schalter auf der Tastatur 15 
oder Vergieichereinheit, die Daten vom Bildschirms- 
canner bzw. von der Bildschirmelektronik mit denen 
vom Rechner vergleicht. 

Die naheliegenste Form der Realisierung scheint der 20 
Bildschirm zu sein, da hier die Daten hier dem Benutzer pra- 
sentiert werden. Man benotigt nun noch einen Tastaturein- 
gang und einen Tastaturausgang zum Rechner. Die bidirek- 
tionale Kommunikation ist durch das eingehende Videosi- 
gnal und die Daten der Tastatur gegeben. 25 

Die Mischform Tastatur - Bildschirm konnte derart aus- 
gefuhrt sein, daB statt dem expliziten Display scanner die 
Daten von der Bildschirmelektronik an die Tastatur gesandt 
werden. 

Die Tastaturausfuhrung ist in einer einfachen Form denk- 30 
bar: die vom Rechner erhaltenen Daten werden auf dem 
LCD-Display angezeigt, und der Benutzer kontrolliert diese. 
Befindet er die Daten als korrekt, quittiert er diese durch 
eine entsprechende Tastaturbedienung. 

Eine aufwendigere Form: mit Hilfe eines Bildschirmscan- 35 
ners werden die Bildschirmdaten erfaBt und direkt an die Ta- 
statur gesandt, die die Uberpriifung vomimmt. 

5 Punktionsweise 

40 

Die Ausfuhrungen werden durch die Authentizitatskon- 
trolle der am Bildschirm ausgewahlten Daten erweitert. Das 
Programm schickt die ausgewahlten Daten zum Gerat, das 
die Bildschirmdarstellung in einem definierten Bereich so 
lange nicht andert, bis es vom Gerat die Daten in authenti- 45 
scher Darstellung zuriick geliefert bekommt. Das Gerat 
scannt den Bildschirm und iiberpruft die aus dem Scannvor- 
gang gewonnen Daten mit denen, die es vom Rechner erhal- 
ten hat. Stimmen die Daten uberein, werden diese in ihrer 
Darstellung transforrniert und wieder an den Rechner ge- 50 
sandt. Fiir Daten von sicheren Geraten entfallt dieser Uber- 
priifungsvorgang. 

Konkretes Anwendungsbeispiel fur das ADG (DATENERF 

GERAT) 55 

Gegenstand der Idee ist es, ein Datenerfassungsgerat zu 
Verfugung zu haben, das nur authentische Daten an den 
Rechner liefert. Das Datenerfassungsgerat und die SKIA 
wird als sicher (also vertrauenswiirdig) betrachtet, alles an- 60 
dere als unsicher! 

Um die Authentizitat sicherzustellen sind folgende 
Punkte zu gewahrleisten (bereits bekannte Verfahren): 

- keine Person kann eine Identitat annehmen, die einer 65 
anderen Person zugeordnet ist, 

- die Daten besitzen eine Reprasentanz, die es zulaBt, 
daB Manipulationen festgestellt werden konnen. 
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Anhand eines konkreten Beispiels (Bankkunde, der eine 
Uberweisung tatigt) soli die Funktionsweise des ADG er- 
klart werden: 

Vorbereitung 

1. Die Bank erzeugt einen privaten und einen offentli- 
chen Schliissel fur einen Kunden, dessen Identitat in 
Form von Merkmalen (Name, Adresse, Geburtsdatum 
usw.) mit diesen Schliisseln bei der Bank assoziiert 
werden. 

2. Der private Schliissel wird auf einer Eurocheque- 
karte mit einem Chip iibertragen. (Dieser Schliissel 
kann erst nach Nachweis der Identitat des Kunden ge- 
lesen werden, z. B. PaBwort, Fingerabdruck, usw. Die- 
ser Nachweis fur die Identitat kann nicht explizit aus- 
gelesen werden, sondern wird iiber ein sogenanntes 
zero-knowledge Verfahren iiberpruft.) 

3. Der Kunde erhalt seine Eurochequekarte. 

Die Bank iibemimmt die Aufgabe der PaBstelle (SKIA = 
Secure Key Issuing Authority) 

Uberweisung 

1. Der Kunde steckt seine Eurochequekarte in die Ta- 
statur 

2. Die Tastatur priift die Giiltigkeit der Karte 

3. Der Kunde wird durch ein Signal aufgefordert, 
seine rechtmaBige Nutzung der eingeiegten Euroche- 
quekarte nachzuweisen, z. B. durch Eingabe eines Pafl- 
wortes, Auflegen eines oder mehrerer Finger auf einen 
in der Tastatur eingebauten Scanner, usw. 

4. Kann die korrekte Identitat (also die RechtmaBig- 
keit der Kartennutzung) nachgewiesen werden, wird 
der Kryptoeinheit in der Tastatur der geheime SK- 
Schliissel des Kunden zur Verfugung gestellt. AuBer- 
dem erhalt die Tastatur den offentlichen PK-Schliissel. 
(Eine noch sicherere Alternative ware, daB der Chip 
auf der Karte die kryptographischen Aufgaben iiber- 
nimmt und nur den offentlichen Schliissel an die Tasta- 
tur iibergibt.) 

5. Der offentliche Schliissel wird dem angeschlosse- 
nen Rechner ubergeben, dessen spezieller Tastaturtrei- 
ber die Transformierung der von der Tastatur erhalte- 
nen Daten in die ubliche Darstellung vomimmt. 

6. Alle Daten, die vom Kunden iiber die Tastatur ein- 
gegeben werden, werden zunachst digital in der Tasta- 
tur unterschrieben (public- key Verfahren) und an- 
schlieBend an den Rechner iibermittelt. Der Tastatur- 
treiber stellt der Anwendungssoftware die Klartextver- 
sion (mit Hilfe des ihm zur Verfugung gestellten offent- 
lichen Schliissels) sowie die authentische Version der 
Anwendungssoftware zu Verfugung. 

7. Bei einer Ubemahme von Daten durch Auswahlop- 
tionen der Software (z. B, Bankleitzahlen, Kontonum- 
mem von bereits getatigten Uberweisungen, usw.) muB 
eine sichere Uberpriifung (wie dargestellt) erfolgen, 
damit die Authentizitat der Daten sichergestellt werden 
kann. 



Patentanspriiche 

1. Datenerfassungsgerat zur Erfassung von Daten und 
deren Ubermittlung in einer authentischen Darstellung, 
welches umfaBt: 
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- eine Datenerfassungseinheit, 

- eine erste Identifikationseinheit, um benutzer- 
spezifische Daten eines Benutzers zu erfassen, 

- eine Datenverschliisselungeinheit, welche die 
Daten in Abhangigkeit von den benutzerspezifi- 5 
schen Daten in die authentische Darstellung trans- 
formiert, und 

- eine Datenubermittlungseinheit. 

2. Datenerfassungsgerat nach Anspruch 1, bei dem die 
Datenerfassungseinheit, die erste Identifikationsein- 10 
heit, die Daten verse hlusselungseinheit und die Daten- 
ubermittlungseinheit eine Einheit bilden, welche Pro- 
grammanweisungen ausfiihrt, die auf einem Festwert- 
speicher (ROM) gespeichert sind. 

3. Datenerfassungsgerat nach Anspruch 1 oder 2, bei 15 
dem die erste Identifikationseinheit ein Gerat zur 
Handhabung von Chipkarten ist. 

4. Datenerfassungsgerat zur Erfassung von Daten und 
deren Ubermittlung in einer authentischen Darstellung, 
welches umfaBt: 20 

- eine Datenerfassungseinheit, 

- ein Gerat zur Handhabung einer Chipkarte mit 
integriertem Kryptochip, welches die benutzer- 
spezifischen Daten des Benutzers erfaBt und die 

zu ubermittelnden Daten in die authentische Da- 25 
tendarstellung transformiert, und 

- eine Datenubermittlungseinheit. 

5. Datenerfassungsgerat nach einem der vorhergehen- 
den Anspruche, welche eine Uberprufungseinheit um- 
faBt, welche die Berechtigung des Benutzers zur Be- 30 
nutzung des Datenerfassungsgerates uberpruft, wobei 
die Daten wahlweise in einer normalen oder einer au- 
thentischen Darstellung ubermittelt werden. 

6. Datenerfassungsgerat nach einem der vorhergehen- 
den Anspruche, bei dem die Datenerfassungseinheit 35 
eine Tastatur umfaBt. 

7. Datenerfassungsgerat nach einem der vorhergehen- 
den Anspruche, bei dem die Datenerfassungseinheit 
eine Videokamera umfaBt. 

8. Datenerfassungsgerat nach einem der vorhergehen- 40 
den Anspruche, bei dem die Datenerfassungseinheit ei- 
nen Scanner umfaBt, welcher optische Information von 
einem Dokument oder Standbild erfaBt. 

9. Datenerfassungsgerat nach Anspruch 10, bei dem 
die Datenerfassungseinheit zusatzlich eine optische 45 
Buchstabenerkennung (OCR) durchfuhrt. 

10. Datenerfassungsgerat nach einem der vorherge- 
henden Anspruche, bei dem die Datenerfassungsein- 
heit und/oder die erste Identifikationseinheit akustische 
Information erfassen kann. 50 

11. Datenerfassungsgerat nach Anspruch 10, bei dem 
die Datenerfassungseinheit und/oder die erste Identifi- 
kationseinheit ein Spracherkennungssystem zur Um- 
wandlung gesprochener Information in Befehle und/ 
oder alphanumerische Zeichen umfaBt. 55 

12. Datenerfassungsgerat nach einem der vorherge- 
henden Anspruche, welches eine Schnittstelle zur 
Kommunikation mit einem oder mehreren Peripherie- 
geraten umfaBt. 

13. Datenerfassungsgerat nach einem der vorherge- 60 
henden Anspruche, welches eine zweite Identifikati- 
onseinheit zur Erfassung zweiter Identifikationsdaten 
umfaBt. 

14. Datenerfassungsgerat nach Anspruch 13, bei dem 
die Uberprufungseinheit mit Hilfe der ersten und/oder 65 
zweiten Identifikationsdaten die Berechtigung des Be- 
nutzers zur Benutzung des Datenerfassungsgerates 
uberpruft. 
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15. Datenerfassungsgerat nach einem der Anspruche 
13 oder 14, bei dem die zweite Identifikationseinheit 
biometrische Daten des Benutzers ermittelt, die von 
korperlichen Merkmalen und/oder Eigenschaften des 
Benutzers abgeleitet werden. 

16. Datenerfassungsgerat nach Anspruch 15, bei dem 
es sich bei der zweiten Identifikationseinheit um einen 
Fingerprintscanner handelt. 

17. Datenerfassungsgerat nach Anspruch 15, bei dem 
es sich bei der zweiten Identifikationseinheit um einen 
Sprachanalysator handelt. 

18. Datenerfassungsgerat nach Anspruch 15, bei dem 
es sich bei der zweiten Identifikationseinheit um einen 
optischen Scanner handelt, der Information von der 
Netzhaut und/oder dem Augenhintergrund des Benut- 
zers erfaBt. 

19. Datenerfassungsgerat nach einem der vorherge- 
henden Anspruche, welches eine Datenverarbeitungs- 
einheit umfaBt. 

20. Datenerfassungsgerat nach einem der vorherge- 
henden Anspruche, welches zusatzlich eine Datendar- 
stellungseinrichtung umfaBt. 

21. Datenerfassungsgerat nach Anspruch 20, bei dem 
die Datendarstellungseinrichtung ein LCD-Display ist. 

22. Datenerfassungsgerat nach Anspruch 20, bei dem 
die Datendarstellungseinrichtung ein Touch-Screen ist. 

23. Datenerfassungsgerat nach einem der vorherge- 
henden Anspruche, welches einen Pufferspeicher auf- 
weist, in dem erfaBte Daten zwischengespeichert wer- 
den. 

24. Datenerfassungsgerat nach einem der vorherge- 
henden Anspruche, welche eine Datenvergleichsein- 
heit umfaBt. 

25. System zur Erfassung von Daten und deren Uber- 
mittlung in authentischer Form, welches umfaBt: 

- eine Daten verarbeitungseinrichtung und 

- ein Datenerfassungsgerat nach einem der An- 
spruche 1 bis 24, wobei 

- die Datenverarbeitungseinrichtung einen Trei- 
ber zur Ver- und/oder Entschliisselung von Daten 
umfaBt, und 

- die Daten zwischen der Datenverarbeitungsein- 
richtung und dem Datenerfassungsgerat wahl- 
weise in einer unverschlusselten oder nur in der 
authentischen Darstellung ubermittelt werden. 

26. System nach Anspruch 25, wobei die Datenverar- 
beitungseinrichtung einen Festwertspeicher umfaBt, 
der eine authentische Version der Anwendungssoft- 
ware enthalt. 

27. Verfahren zur Erfassung von Daten und deren 
Ubermittlung in einer authentischen Darstellung, mit 
den folgenden Schritten: 

- die Daten werden erfafit; 

- benutzerspezifische Daten eines Benutzers wer- 
den erfaBt; 

- die Daten werden in Abhangigkeit von den be- 
nutzerspezifischen Daten in die authentische Dar- 
stellung transformiert; und 

- die Daten werden in der authentischen Darstel- 
lung ubermittelt. 

28. Verfahren nach Anspruch 27, bei dem zur Erfas- 
sung der benutzerspezifischen Daten des Benutzers Da- 
ten erfaBt werden, die auf einer Chipkarte gespeichert 
sind. 

29. Verfahren nach Anspruch 27 oder 28, bei dem zur 
Ermittlung der Identitat des Benutzers Identifikations- 
daten erfaBt werden und uberpruft wird, ob die benut- 
zerspezifischen Daten und die Identifikationsdaten zu- 
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einander in einer Beziehung stehen, die fur den Benut- 
zer charakteristisch ist. 

30. Verfahren nach Anspruch 29, bei dem die Identifi- 
kationsdaten und/oder benutzerspezifischen Daten al- 
phanumerische Zeichen sind. 5 

31. Verfahren nach Anspruch 29, bei dem als Identifi- 
kationsdaten biometrische Daten erfaBt werden, die 
von korperlichen Merkmalen und/oder Eigenschaften 
des Benutzers abgeleitet werden. 

32. Verfahren nach einem der Anspriiche 27 bis 3 1 , bei 10 
dem die Daten als optische Information in Form von 
bewegten Bildern oder von Standbildem erfaBt wer- 
den, 

33. Verfahren nach Anspruch 32, bei dem der Informa- 
tionsgehalt der Daten durch elektronisches Filtern re- 15 
duziert wird. 

34. Verfahren nach einem der Anspriiche 32 oder 33, 
bei dem die Daten alphanumerische Zeichen darstellen, 
welche mit Hilfe eines optischen Buchstabenerken- 
nungsverfahrens (OCR) aus den erfaBten Daten ermit- 20 
telt werden. 

35. Verfahren nach einem der Anspriiche 27 bis 34, bei 
dem zur Erfassung der Daten akustische Daten erfaBt 
werden. 

36. Verfahren nach Anspruch 35, bei dem die Daten 25 
alphanumerische Zeichen darstellen, welche mit Hilfe 
eines Spracherkennungsverfahrens ermittelt werden. 

37. Verfahren nach einem der Anspriiche 27 bis 36, bei 
dem zur Erfassung der Daten alphanumerische Zeichen 
iiber eine Tastatur eingegeben werden. 30 

38. Verfahren nach einem der Anspriiche 27 bis 37, bei 
dem zur Erfassung der Daten eine Menuauswahl mit 
Hilfe einer Cornputermaus vorgenommen wird. 

39. Verfahren nach Anspruch 38, bei dem zur Erfas- 
sung der Daten ein Formular auf einem Bildschirm dar- 35 
gestellt wird, in das die Daten iiber eine Tastatur einge- 
geben werden. 

40. Verfahren nach Anspruch 38 oder 39, bei dem die 
erfaBten Daten mit den zu uberrnittelnden Daten vergli- 
chen und nur nach einem erfolgreichen Vergleich iiber- 40 
mitteit werden. 

41 . Verfahren nach einem der Anspriiche 27 bis 40, bei 
dem die zu uberrnittelnden Daten auf einer Darstel- 
lungseinrichtung eines Datenerfassungsgerates darge- 
stellt werden und der Benutzer die tJbermittlung der 45 
Daten freigibt. 

42. Verfahren nach einem der Anspriiche 27 bis 41, bei 
dem die Daten zur Transformation in die authentische 
Datendarstellung verschliisselt werden. 

43. Verfahren nach einem der Anspriiche 27 bis 42, bei 50 
dem die Daten mit Hilfe eines asymmetrischen Ver- 
schliisselungsverfahrens verschliisselt werden. 

44. Verfahren nach Anspruch 43, bei dem ein ofFentli- 
cher Schliissel (public key) zum Verschliisseln der Da- 
ten verwendet wird. 55 

45. Verfahren nach Anspruch 44, bei dem der offentli- 
che Schliissel auf der Chipkarte gespeichert ist. 

46. Verfahren nach Anspruch 44, bei dem der offentli- 
che Schliissel von einem anderen Computer bereitge- 
stellt wird. 60 

47. Verfahren nach Anspruch 43, bei dem ein sicherer 
Schliissel (secure key) zum Verschliisseln der Daten 
verwendet wird. 

48. Verfahren nach Anspruch 47, bei dem der sichere 
Schliissel auf der Chipkarte gespeichert ist. 65 

49. Verfahren nach einem der Anspriiche 27 bis 48, bei 
dem die elektronischen Daten mit Hilfe eines digitalen 
Signaturverfahrens in die authentische Darstellung 
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transformiert werden. 

50. Verfahren nach einem der Anspriiche 27 bis 49, bei 
dem die Daten in authentischer Darstellung von einem 
Datenerfassungsgerat an einen Computer ubermittelt 
werden. 

51 . Verfahren nach einem der Anspriiche 27 bis 50, bei 
dem die Daten iiber ein lokales Netzwerk (LAN) an ei- 
nen anderen Rechner ubermittelt werden. 

52. Verfahren nach einem der Anspriiche 27 bis 50, bei 
dem die Daten iiber ein weitraumiges Netzwerk 
(WAN) an einen anderen Rechner ubermittelt werden. 
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